Aktualisiert: 30.03.2002: Anstelle von SMOOTHWALL tritt nun IPCop, zu finden unter http://IPCop.sourceforge.net. IPCop wird im Gegensatz zu SMOOTHWALL gepflegt und weiterentwickelt. Wichtige BUGS, wie SSH...wurden beseitigt, DIAL on DEMAND mit ADSL funktioniert nun korrekt. Zur Einrichtung von IPCop mit T-DSL siehe die FAQ. Have fun !!!!!

Aktualisiert: 20.02.2002: Firewall Kurse in Koeln fuer Smoothwall, LINUX Firewall allgemein in Koeln, hier anmelden: Crashkurse



Link zum Firewall Handbuch....
SMOOTHWALL ISO - File (brennen, booten, fertig ..)
Bedienungshandbuch
Installations - und Konfigurationshandbuch
Schulungen und Support

Aktualisiert: 14.02.2002: Alternativen zur Smoothwall bieten u.a. folgende Systeme. Diese laufen nur auf Floppy oder FLASH-ROM...:
BBI Firewall (*****)	http://www.BBIagent.Net/en/features.htm
FloppyFW 	-- 	http://www.zelow.no/floppyfw
Linux Router Project -- http://www.linuxrouter.org
Fli4l		--	http://www.fli4l.de 
FirePlug 	-- 	http://edge.fireplug.net
Coyote Linux -- 	http://www.coyotelinux.com



Aktualisiert: 12.02.2002: Die Fehlerdiagnose ist viel einfacher, wenn man sich mit "tail -f /var/log/messages" die Fehlermeldungen in einem "root" - Fenster an der Konsole oder über das SSH-Fenster im Webbrowser ansieht.

Aktualisiert: 01.02.2002: Eine persönliche Sicherheits-Analyse:
Zunächst vielleicht ein paar Anmerkunden zum c't Artikel: Nach einer ausführlichen Analyse der Smoothwall kam der Autor zu einem etwas vernichtenden Urteil bezüglich der Sicherheit. Einer der Kritikpunkte war, daß das Fernwartungsinterface, also die CGI-BIN Skripte, die auf den Apache WWW-Server auf dem "GREEN" Interface laufen, ein Sicherheitsproblem darstellen. Prinzipiell hat er Recht, er hat jedoch vergessen zu erwähnen, daß der Angreifer sich bereits hinter der Firewall befinden müsste, also die Firewall bereits überwunden haben müsste, um diese dann zu "knacken". Wenn man also davon ausgeht, daß die Firewall stets von innen administriert wird, liegt hier nicht das Problem.
Smoothwall hat mehrere andere Probleme:
1. Auf der Firewall sind per Default mehrere Module für Masquerading installiert, die z.B. Quake, IRQ und ICQ aus dem LAN unkontrolliert ins Internet erlauben. Diese sollten über die ROOT-Shell unbedingt entfernt werden: In /etc/rc.networking diesen Modulen einfach ein "#" voranstellen, und diese mit rmmod aus den Kernel zur Laufzeit entfernen. Neuboot ist dann nicht notwendig. Es kann nicht angehen, daß ein Mitarbeiter auf einer Arbeitsstation einen IRQ Client installiert hat, uns so Firmengeheimnisse durch diesen IRQ Kanal ins Internet verschwinden.
2. Der Smoothwall fehlt z.B. ein Caching DNS Server, sodaß man beim Einsatz von ISDN Dial on Demand arm wird. Da die Windows Workstations stets Broadcasts versenden, wählt also die Smoothwall recht oft. Hier hilft das Hinzufügen einiger Firewallregeln auf dem "GREEN" Interface per Hand (siehe Firewallhandbuch), oder der Einsatz eines Linux Rechners mit Caching Proxy bzw. DNS Caches (RedHat 7.x, Mandrake zu empfehlen), als zusätzlichen Rechner im LAN.
3. Die Smoothwall arbeitet nicht Statefull, also läßt DNS UDP Port 53 Pakete stets bidirektional zu einem DNS Server im Intranet oder der DMZ hindurch. Ich möchte an dieser Stelle dringendst vor dem Einsatz einer älteren Linux Distribution mit bind 4.x, 8.x als DNS -Server im Intranet warnen, dasselbe gilt auch für NT 4.0/2000/XP Exchange Server bzw. AD Server. Cracker können aus der ganzen Welt direkt über Port 53 UDP durch die Firewall auf diese Server zugreifen und einen sog. "cache poisoning attack" durchführen. Hier bei werden z.B. die MX - Einträge bezüglich der Intranet Zone im RAM (nicht den Konfigurationsdateien) so verändert, daß alle Firmen-interne Mail prötzlich in das Internet verschwindet. (FOCUS hatte vor zwei Jahren über einen solchen Fall bei Siemens (mch.sni.de) berichtet, leider hatten die Siemens Leute es nicht verstanden....) Diese Angriffe lassen sich nur durch den Einsatz des DNS Servers DJBDNS unter UNIX/LINUX von D.J. Bernstein unterbinden. Dieser Server sollte möglichst in der DMZ installiert sein, wobei dann der Intranet DNS - Server als "forwarder" diesen eingetragen haben sollte. Dieses Problem läßt sich durch Eingrenzung der möglichen IP-Nummern, die auf Port 53 UDP der Firewall zugreifen dürfen etwas mildern, Sicherheit bringen aber weder dies (der Cracker könnte z.B. auch auf DNS Servern des Providers sitzen (was häufiger passiert)), noch der Einsatz einer Statefull Firewall. Der Einsatz des DJBDNS ist die einizige sichere Möglichkeit, IMHO.
4. Smoothwall besitzt keinen Virenfilter, weder für SMTP, noch HTTP oder FTP. Von vielen als Nachteil betrachtet, sehe ich das persönlich etwas gelassener, sofern ein Virenscanner auf dem Mail/Fileserver und auch den Arbeitsstationen installiert ist. Zentrale Virenscaner in Firewalls kann man äußerst einfach stilllegen, indem man z.B. eine 6 GByte große Datei erzeugt, ein paar Virensignaturen (Siehe Firewall-Handbuch) dort hineinlegt, und diese Datei dann mit Hilfe von WINZIP auf ca. 200 KByte verdichtet. So 20-30 dieser Mails dürften dann für jede Art Virenscanner auf einer Firewall das Aus bedeuten, entweder mangels CPU Kapazitäten, oder mangels Plattenplatz. Der Admin muß sich dann entscheiden, ob er diese dauerhaft deaktiviert, oder die Firma halt offline ist. Virenscanner auf einer Firewall sind manchmal recht einfach stillzulegen. Wer kennt da eine gute Lösung (außer SOPHOS Antivirus ?)
5. In der SMOOTHWALL kann man das Logverhalten nicht individuell einstellen. Schon nach mehreren Tagen dauert der Aufbau der LOG-Datei im Web-Interface so lange, daß einem die Lust vergeht. Mit Hilfe von Kommando's, wie "grep "suchstring" /var/log/messages|more" (Suche mit SHIFT-7) kann man sich jedoch hervorragend über die ROOT-Shell behelfen.
6. T-DSL und DIAL ON DEMAND läuft inzwischen, ich verhandle noch mit Richard Morell über die Veröffentlichung der Patches. Es kann nicht angehen, daß seine kommerzielle Version der Firewal zwar von der GPL Version abstammt, er sich aber weigert, diese Patches zu veröffentlichen, was er nach §2b der GPL eigentlich müßte. Ich persönlich möchte so einem Komiker jedenfalls nicht zuarbeiten.
6. SNORT ist ein Expertensystem, welches ständig mit neuen Signaturen gefüttert werden muß. Was diese skurile Updatefuktion tut, und was passiert, wenn jemand Richard Morell den Webserver knackt und dort ein zerstörerisches oder die Firewall transparent schaltendes Update installiert, möchte ich mir nicht ausmahlen. Microsoft mit seinen obskuren Service-Packs genügt mir vollauf. Man sollte die Updatefunktion niemals nutzen, und stets dafür sorgen, daß man die originalen Snortdateien aufspielt. (Prüfsummen beachten !!!!!)
7. SMOOTHWALL wird weiter supportet und weiter entwickelt, jedoch unter einem anderen Namen. Richard Morell nannte mich persönlich "fucking nazi muppet (Siehe auch Newsgroups), weil er offensichtlich zu spät begriffen hatte, daß sein Namensschutz "SMOOTHWALL" bei der EG zwar angemeldet ist, er jedoch SMOOTHWALL unter GPL gesetzt hatte....also auch den Namen. SMOOTHWALL wird also in jedem falle weiter entwickelt, im Moment unter dem Namen IPCOP, zu finden unter http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopFAQ

Aktualisiert: 02.01.2002: Compaq Server Hardware Probleme

Die Netflex-Karten von Compaq machen immer Ärger im Netzwerk. Sie arbeiten sehr langsam in einigen Umgebungen und häufig 'ruckelt' das Netzwerk, bzw. der Datendurchsatz ist nur schubweise vorhanden.

Workaround für Leute mit T-DSL mit Flatrate: Standleitung angekreuzt, Verbinden bei Neustart angekreuzt, alle anderen aus. Wenn man Dial-On-Demand aktiviert, ist eine Einwahl nicht möglich, wir suchen gerade nach der Lösung.

Smoothwall 0.9.9se ist identisch zu smoothwall 0.9.9 + patch6 (beinhaltet auch alle vorhergehenden Patches, die Installation von SMOOTHWALL 0.9.9 + Klick auf den Update Button genügt auch ...)

Aktualisiert: 20.12.2001: BUGS in SMOOTHWALL

Performance - Probleme mit 3COM 3c900 XL - Karten...
ASUS P2B-LS läuft, erkennt bei Autotest die INTEL Onboard - Karte nicht, muß also manuell nachinstalliert werden.
Bei der Installation mit Floppy über http muß man das smoothwa.tgz in smoothwall.tgz umbenennen. (Danke an Oli !)

Aktualisiert: 17.12.2001: BUGS in SMOOTHWALL

Aktualisiert: 12.12.2001: Liste von unterstützter Hardware (GS), Troubleshooting mit TokenRING (GS), IPSec ohne AH (GS)

Neue, kaum zu schlagende Linux Firewall für ISDN + T-DSL mit VPN unter GPL verfügbar !!!!

Nachdem ich so einige Erfahrungen mit Firewalls gemacht habe, wie z.B. RAPTOR Eagle, Checkpoint Firewall-1, SecureLink , Astaro, SuSE Firewall und auch einigen GUI's for Kernel 2.2 und 2.4, wie GUARDDOG, FIRESTARTER, KNETFILTER, IPMENU, oder einfach nur Skripten wie rc.firewall (http://www.freshmeat.net), möchte ich einmal kurz die SMOOTHWALL beschreiben:


Leider hat SMOOTHWALL auch einige dicke BUGS, mehr dazu am Ende ....Richard Morelli is leider nicht bereit, diese in der Liste zu veröffentlichen....


1. SMOOTHWALL ist ein auf ein Minimum abgespecktes RedHat - Linux mit Kernel 2.2 und bereits integriertem IPSec VPN Modul, also von den Fähigkeiten her mindestens völlig gleichwertig zu SuSE Firewall, ASTARO und Securelink Firewall, jedoch völlig idiotensicher auch für DAU's, Mausschubser oder Microsoft Certified Entertainer ;-)) zu bedienen. Kompatibilität zu Checkpoint Firewall-1 3.0+, CISCO PIX, Microsoft ISA Firewall - Server (Proxy II) und vielen anderen ist gewährleistet. Mit kleinen Änderungen funktioniert VPN (nach Patch) auch mit dynamischen IP-Nummern auf der einen Seite, die andere *muß* statische IP-Nummern besitzen. Filialen, die jeweils mit statischer IP-Nummer angeschlossen sind, können direkt miteinander (out of the BOX) mit einem IPSec - VPN verbunden werden.

2. SMOOTHWALL ist vollständig über eine GUI mit Hilfe von SSL zu administrieren, also auch ähnlich SuSE Firewall, Securelink, Checkpoint oder Astaro. Fernwartung kann über einen IPSec Client oder via SSH bzw. HTTP+SSL erfolgen.

3. SMOOTHWALL hat einen filternden PROXY eingebaut, der Schweinkram aus dem Internet entfernen kann. Filterlisten via Mail .......

4. SW hat SNORT, ein IDS (Intrusion Detection System) auf Intranet - Seite eingebaut.

5. SW führt Statistiken über den Traffic, die Anzeige ist mit vielen Grafiken untermalt, ähnlich MRTG. Ein interessantes Feature für Provider.

6. SW bietet Alarming in verschiedensten Varianten.

7. SW bietet Masquerading, PortForwarding (DMZ/Intranet möglich)

8. Smoothwall unterstand einem anderen Copyright und kostete viel Geld, bis Richard Stallmann von der FSF (GNU Software) den Jungs angedroht hat, die Rechte an der Nutzung von Linux zu entziehen. Nun ist die Firewall GPL. Ich möchte fast behaupten, daß dies SuSE, Astaro und Securelink auch bald bevorsteht. Diese Firmen unterstellen ihr Software nicht der GPL, um Wiederverkäufern das Handwerk zu legen, obwohl nach § 2b der GPL sie dieses tun müßten. Kopieren, weiterverbreiten der CDROM/DVD's ist also bei diesen Herstellern nicht gestattet. RedHat, Debian und natürlich SMOOTHWALL sind hier ohne Probleme. Man darf und soll soviel kopieren, wie man kann....;-)

9. Smootwall wird komplett kostenlos mit deutschen Handbüchern auf dem Server http://www.smoothwall.org angeboten, Spenden ausdrücklich erwünscht.

10. Smoothwall ist sehr einfach zu installieren: Von einem nur 20 MByte !!! großen ISO-File erzeugt man sich eine bootfähige CD, gibt einige Paßworte ein, die Netzwerk-Koordinaten (Netzwerk rot=internet, orange=DMZ, green=Intranet), und nach ca. 10 Minuten ist die Firewall einsatzbereit mit VPN, DMZ, Fernwartungs-Interface...u.s.w.

11. SW wird komplett mit Sourcecode geliefert, inclusive den Sourcen für die GUI, also ***KEINE*** mysteriösen Funktionen oder Backdoors (CISCO, Checkpoint http://www.dataprotect.com/bh2000/ ) mehr enthalten ...

12. Es sind recht viele Module für spezielle PROXY-Services aktiviert - die muß man leider noch per Hand deaktivieren... Port 113 PORT Weiterleitung für AUTH - Dienste sollte man auch deaktivieren....

13. IPCHAINS ist inzwischen, nach so vielen Jahren recht solide. Die Durchsatzraten dieser Firewall liegen in einem Netzwerk mit 3x 100 MBit fast bei 80%.....vom Max....

14. SW arbeitet mit ISDN- Dialin und auch T-DSL .... (getestet, nach Installation läufts sofort...)

15. Kostenlos ist immer gut, idiotensicher noch besser, Handbuch noch besser.....VPN noch geiler .....Kommerzielle Firewallhersteller, packt ein, sucht Euch einen neuen Job.......;-))

16. Kostenloser und auch kostenpflichiger Support (für die, die unbedingt Wert auf Wartungverträge, teuren Support und hohe Anschaffungskosten legen, weil die denken, daß sie dann mehr Sicherheit erhalten) in Deutschland, Belgien und Holland ist verfügbar.... mailto: stepken@little-idiot.de ...ich vermittle gerne weiter ...oder helfe auch einfach nur bei Fragen ......Desweiteren wird auch von verschiedensten Firmen angeboten, die Sicherheit von Firewalls zu testen, bzw. zu überwachen ...Firmen, die ebenfalls Support anbieten möchten, mögen sich noch bei mir melden ....

17. SMOOTHWALL 2.0 für Linux Kernel 2.4 ist bereits verfügbar, jedoch noch im final Test. SMOOTHWALL 0.9.9 läuft im Moment äußerst zuverlässig.

18. Schulungen zu SMOOTHWALL über 3 Tage finden nun regelmäßig ab 2002 1x monatlich in Aachen, Köln, Düsseldorf und München statt. Mehr unter http://www.little-idiot.de/crashkursus.html



Natürlich gibt es da noch einige Risiken, die jedoch bei allen Firewalls existieren, wie z.B. Virenscanner (nachrüstbar, kein Problem), DNS UDP Probleme (cache poisoning), die aber durch eine richtige Archtitektur lösbar sind. Microsoft Workstations oder Webserver damit schützen zu wollen, das klappt jedoch mit keiner Firewall so richtig ....;-))

Leider existieren noch ein paar kleine Probleme, die hier auch nicht verschwiegen werden sollen:

1. Die Installation resiert die Festplatte komplett, aber eine 500MByte Platte sollte jeder noch irgenwo auftreiben können ....die ist mehr als ausreichend....

2. Leider gibt es noch einige Probleme mit D-DSL und automatischer Einwahl, weswegen die SMOOTHWALL nur mit S-DSL Standleitung oder T-Interconnect einsetzbar ist. T-DSL Flatrate geht aber auch. Patches sind aber in Vorbereitung. Bei ISDN Dial-On Demand kann man unter dem Menü DIALUP den Timeout genau einstellen.....alternativ habe ich schon Patches für DoD mit T-DSL in Vorbereitung (läuft schon)

3. Die Firewall ist nicht "statefull", was normalerweise nicht viel aussagt, jedoch sollte man unbedingt als DNS Server im Intranet den DNS-Server DJBDNS von D.J. Bernstein einsetzen. Dieser besitzt, da er unter dem Aspekt der Sicherheit programmiert ist, kein Buffer - Overflow - Problem, und dieser weiß sich auch gegen Cache-Poisoning zur Wehr zu setzen. BIND 4, BIND 8 unter UNIX/Linux, insbesondere alle, die älter als ein paar Monate sind, müssen unbedingt entfernt, oder geupdatet werden. Leider konnten, wie ich vielfach festgestellt habe, Hacker DNS-Server von Providern in Besitz nehmen, und viel Unheil stiften. Täglich ca. 20-30 mal registriere ich auf einigen Honeypots konkrete Angriffe, die zumeist aus Korea oder Russland kommen. Eine Statefull Firewall kann gegen diese Probleme leider auch nicht schützen.....der fehlende DNS-Proxy auf der SMOOTHWALL macht diese Maßnahme aber unbedingt erforderlich.

4. Smoothwall besitzt eine IP-Nummer Richtung Internet, es können Ports von dieser IP Richtung DMZ bzw. Intranet (Achtung gefährlich !! Aber interessant für gelegentliche Fernwartung von Intranet-Servern....;-)) Mehrere virtuelle Netzwerke oder mehrere IP-Nummern beherrscht leider SMOOTHWALL nicht. Hierfür empfehle ich den Einsatz von Redhat Linux 7.2 mit der eingebauten Firewall (jaja, mit GUI, T-DSL, ISDN) oder dem Aufsatz GUARDDOG oder KNETFILTER...Wer ASCII-GUI's mag, und zusätzlich noch Bedarf nach QoS hat, der kann auch ipmenu von David Stesunter RedHat einsetzen .... Auch hierfür sind Handbücher verfügbar.

5. Hier die Liste von benötigter/erkannter Hardware (ohne Garantie !)

Keine SCSI Systeme - ATBUS reicht völlig aus, und wird als einziges
unterstützt. 
RAID Kontroller von IBM oder COMPAQ funktionieren eh nicht zuverlässig.

Grafikkarten - ohne Belang - die billigste Karte ist die beste, auch uralt -
Karten sind hervorragend.

RAM - 16 MByte sind ausreichend, 32 MByte mit PROXY sinnvoll.

CPU - das IDS System SNORT ist ein riesiger Resourcenfresser - ein P 450
sollte es beim Einsatz von SNORT schon sein, bei Einsatz von PROXY genügt
ein P75 bereits. Nur Firewalling - 486-50 mit 16 MByte bei 10 MBit, P-66 mit
PCI für 100 MBit. Schnelle Pentiums sind herausgeschmissenes Geld, die
drehen eh Däumchen. 

Hier die Liste von Netzwerkkarten:

3COM - Karten fast alle....;-) 
EL1 ja
EL2 ja
ELPLUS ja
EL16 ja
EL3 ja
3C515 ja
VORTEX ja
LANCE ja
WD80x3 ja
ULTRA ja
ULTRA32 ja
SMC9194 ja
NI5010 ja
NI52 ja
NI65 ja
RTL8139 ja
AT1700 ja
E2100 ja
DEPCA ja
EWRK3 ja
EEXPRESS ja
EEXPRESS_PRO ja
FMV18X ja
HPLAN_PLUS ja
HPLAN ja
HP100 ja
ETH16I ja
NE2000 ja
SEEQ8005 ja
SK_G16 ja
NET_EISA ja
PCNET32 ja
AC3200 ja
APRICOT ja
CS89x0 ja
DM9102 ja
DE4X5 ja
DEC_ELCP ja
DGRS ja
EEXPRESS_PRO100 ja
LNE390 ja
NE3210 ja
NE2K_PCI ja
TLAN ja
VIA_RHINE ja
SIS900 ja
ES3210 ja
EPIC100 ja
DE600 ja
Ethernet (1000 Mbit) - Unterstützung auf Anfrage möglich 
Probleme jedoch im Filtermodul wegen large frames.
FDDI - Unterstützung auf Anfrage
Token-Ring - Unterstützung auf Anfrage


Weitere BUGS oder Probleme bitte an mailto:stepken@little-idiot.de mailen, ich hoffe, eine schnelle Fehlerlösung anbieten zu können ...

Gru/3 an alle, have fun beim Testen über die Feiertage... Guido Stepken

Hier nun die Begründung, warum die BUGS geheimgehalten werden....
....
I have sent this off to the submissions department to be evaluated.  They
will reply to you to get more specifics.  I am not going to approve it to
the list until they have had a chance to verify that these things are
"solved", but some of what you have solved, are the things we have in the
corporate version, and so putting them in the GPL version prevents us a
chance to make a living.

So many people tell us they don't want us to ask for money for GPL, this
will only ensure that we can't make money with the commercial either.

I believe I also said in the first reply that sales@smoothwall.org does send
a receipt to those who donate, but that is also not handled by this list,
but by them.



Rebecca Ward
Worldwide Online Manager
Smoothwall Users List Co-Moderator

----- Original Message -----
From: "stepken" 
To: 
Sent: Monday, December 17, 2001 9:15 AM
Subject: BUGS, BUGS, Solutions ....


>
>
> Hi !
>
> There are several problems (some of them solved already !) with smoothie

...
> perhaps these could be solved in 0.9.9 GPL -> 1.0.0 GPL :
>
> 1. Many drivers for network cards were removed. Tokenring is urgently

needed.
> (solved !)
> 2. Many Networks/IP on RED (unsolved, patch 4 disappeared....)
> 3. Replacement of Network cards is unnoticed by setup routine, old drivers
> still appear, although new drivers are detected (unsolved)
> 4. IPSec Masquerade + Forward disabled ....
> 5. Instead unsafe GRE tunnel is allowed ....
> 6. Ping from SMOOTIE on Compaq Hardware works, but very slow and with a 30
> seconds delay ? Any others out there, who also discovered that bug ?
> (unsolved)
> 7. IPSec VPN from dynamic IP to static -IP Firewall now possible (disable

AH
> in Kernel, rebuild smoothie and configure IPSec Client to ignore

AH...(solved)
> 8. IPSec debug mode on .....why ?
> 9. SLIP Protocol in Kernel, why ?
> 10. BSD compression with PPP disabled, why ?
> 11. Support for many motherboard chipsets is disabled, why ?
> 12. SYNCookies Support is disabled, hmmm any reason ?
> 13. ADSL dial on demand Problem (solved, needed patches for pppoe....)
> 14. SNORT update of attack knowledgebase unsolved......where can i

configure
> where to upload periodically from ?
> 15. DoS attack on 2.2.19 possible .... kernel hackers are informed...
> 16. PPTP tunnel needed.....
> 17. Masquerade für real dangerous clients in LAN should be disabled (IRC
> !!!!!!) Selection of masquerading modules should be possible
> 18. There is a real threat with Port 113 open to intranet and Linux Server
> with identd running.... buffer overflow through firewall is possible. The
> correct solution is to reject port 113 with ICMP port unreachable

..message,
> not drop because of timeouts.....(solved).




Link zum Firewall Handbuch....
SMOOTHWALL ISO - File (brennen, booten, fertig ..)
Bedienungshandbuch
Installations - und Konfigurationshandbuch
Schulungen und Support